La IA hackea la web de un extrabajador de OpenAI en solo 10 minutos: "Estamos en el borde de una explosión tecnológica"

Imagen generada con IA

Este agente de inteligencia artificial no solo detecta vulnerabilidades conocidas, sino que también identifica fallos lógicos y errores en permisos mal configurados. Además, es capaz de automatizar ciberataques simulados con una precisión sorprendente.

La inteligencia artificial ya no necesita instrucciones detalladas debido a que puede encontrar fallos de seguridad en cualquier página web y explotarlos sin descanso, como si fuera un hacker profesional… pero automático. 

Eso es justo lo que ha demostrado RunSybil, una startup creada por Ariel Herbert-Voss, el primer investigador de seguridad que tuvo OpenAI. Su sistema no solo detecta vulnerabilidades, sino que simula ciberataques con una precisión y rapidez que ningún humano puede igualar. 

En apenas 10 minutos, una IA fue capaz de analizar una web real, buscar puntos débiles y actuar como un atacante, sin intervención humana. Para su creador, esta prueba ha sido una señal clara de que estamos al borde de un salto radical en la ciberseguridad.

La IA como hacker ético

El experimento consistió en poner a prueba una página web creada con ayuda de otra IA. No se trataba de un sitio sensible ni de un objetivo comprometido, sino de un entorno personal pensado para clasificar investigaciones recientes sobre inteligencia artificial. 

Aun así, la prueba fue reveladora, y es que RunSybil activó su sistema y lanzó a Sybil, el cerebro central que coordina al resto de agentes automatizados. Su tarea fue detectar posibles brechas de seguridad, fallos lógicos o accesos indebidos que pudieran dar pie a una intrusión.

Cabe señalar que Sybil no trabaja sola, es el agente orquestador que supervisa a varios módulos especializados, cada uno con funciones concretas, desde escanear rutas hasta probar configuraciones erróneas o escalar privilegios. 

Todos ellos funcionan con modelos de lenguaje avanzados y API públicas, lo que permite combinarlos como piezas de un mismo sistema autónomo. En esta ocasión, la IA no encontró vulnerabilidades serias, en parte porque el sitio apenas tenía funcionalidades complejas. 

Pero cuando se enfrentó a una segunda web de prueba, sí logró detectar errores reales, construir un mapa completo de la aplicación y encontrar una secuencia lógica para simular un ciberataque completo. Todo esto, sin necesidad de escribir una sola línea de código a mano.

Lo que diferencia a Sybil de una herramienta tradicional es su capacidad para actuar con criterio propio, por lo que no se limita a buscar errores conocidos, sino que analiza el comportamiento de la web, detecta inconsistencias, pone a prueba hipótesis y combina los hallazgos para llegar a conclusiones más complejas. 

Si detecta que un usuario invitado tiene más permisos de los que debería, lo explota. Si un parámetro permite una entrada inesperada, lo manipula para comprobar hasta dónde puede llegar, esto no solo acelera el proceso, también lo amplía. Un humano necesitaría horas o incluso días para llegar a las mismas conclusiones. 

Sybil lo hace en paralelo, sin saltarse ningún paso, además de que no espera órdenes, él solo toma la iniciativa. Y aunque opera bajo control, lo hace con la misma lógica que usarían los ciberdelincuentes, pero con la escala y precisión de una máquina avanzada. 

Pruebas de penetración para todos, no solo para grandes empresas

Hasta ahora, realizar una prueba de penetración con este nivel de profundidad era un lujo reservado a las grandes compañías, puesto que requiere tiempo, experiencia y recursos. Lo que propone RunSybil es llevar ese análisis a cualquier empresa, grande o pequeña, sin necesidad de esperar a un auditor externo. 

Sybil puede ejecutarse de forma continua, proporcionando una visión constante del estado de seguridad de un sitio web. No se trata solo de encontrar fallos, sino de monitorizar en tiempo real qué tan expuesta está una aplicación, incluso si se actualiza a diario.

Para quienes invierten en esta tecnología, la idea de democratizar la ciberseguridad es clave. Si los hackers ya están usando IA para automatizar sus técnicas, limitar la defensa a herramientas manuales sería un error. RunSybil no propone una solución milagrosa, sino un método que permite adaptarse al mismo ritmo al que evolucionan las amenazas.

Ariel Herbert-Voss conoce bien el terreno que pisa, no solo trabajó en OpenAI desde sus inicios, sino que fue el primer investigador en liderar el área de seguridad. Allí creó desde prototipos de malware hasta herramientas de ingeniería inversa, con el objetivo de anticiparse a los riesgos que la propia inteligencia artificial iba a generar. 

No le sorprendió ver cómo los modelos de lenguaje se volvían accesibles a cualquier usuario. Lo que sí le preocupó fue la falta de herramientas que permitieran contrarrestar ese avance desde el lado defensivo.

Por eso fundó RunSybil, y no como una respuesta teórica, sino como una necesidad urgente. Si la inteligencia artificial puede usarse para atacar, también debe emplearse para proteger, pero la diferencia está en quién la controla, con qué fines y bajo qué límites éticos.

Otros artículos interesantes: